Si tienes un sitio web, un formulario de contacto/suscripción y usas Mailchimp para gestionar tu newsletter, probablemente te estés preguntando si necesitas incluir esta información en tu política de privacidad (o puede que te estés preguntando incluso si necesitas tener una política de privacidad en general).
La respuesta es SÍ: tener una política de privacidad que contenga la información adecuada es un requisito obligatorio tanto desde el punto de vista legal como desde la perspectiva de terceros.
Esta guía te enseñará cómo crear una política de privacidad para Mailchimp y también te explicará los pasos que tienes que dar para asegurarte de que tu lista de correo y las actividades de tu newsletter cumplan con la ley.
Mailchimp establece explícitamente en la sección 20 de sus Condiciones de Uso que debes respetar todas las leyes aplicables. Normalmente, esto significa que debes respetar las leyes de privacidad de tu país y de los países de tus usuarios.
Eres responsable de determinar si el Servicio es adecuado para tu uso según tus obligaciones legales, que pueden extraerse de cuerpos normativos como HIPAA, GLB, leyes de privacidad de datos de la UE (incluido el Reglamento General de Protección de Datos) (colectivamente, “Leyes de privacidad de datos de la UE”), Leyes y regulaciones de control de exportaciones de Estados Unidos y leyes y regulaciones de sanciones económicas (“Leyes y regulaciones de control de exportaciones de Estados Unidos”), u otras leyes aplicables.
Los requisitos son aún más explícitos si estás ubicado en el EEE (incluyendo Reino Unido y Suiza) o si tienes a alguien ubicado en estas regiones en tu lista de correo:
Si estás ubicado en el Espacio Económico Europeo, Reino Unido, o Suiza (colectivamente, el “EEE”) y/o distribuyes campañas u otro tipo de contenido a través del Servicio a cualquier persona ubicada en el EEE (cada Miembro es un “Miembro del EEE”) al crear tu lista de distribución de Campañas, enviar Campañas a través del Servicio y/o recopilar información como resultado de la creación o el envío Campañas, declaras y garantizas a Mailchimp que:
- Publicarás claramente, mantendrás y respetarás un aviso de privacidad público fácilmente accesible sobre las propiedades digitales de las que se recopilan los datos subyacentes que satisfacen los requisitos de las leyes de protección de datos aplicables, describe tu uso del Servicio e incluye un enlace a la Política de Privacidad de Mailchimp.
- Tendrás que obtener y mantener todos los permisos necesarios y los consentimientos válidos exigidos para transferir datos a Mailchimp de forma legal, y para permitir que Mailchimp recopile, trate y comparta legalmente dichos datos con el fin de proporcionar el Servicio o según tus indicaciones.
- Respetarás todas las leyes y regulaciones aplicables a las Campañas enviadas a través del Servicio, incluyendo aquellas relacionadas con (a) la obtención de consentimientos (cuando proceda) para Campañas enviadas legalmente, (b) el Contenido de las Campañas, y (c) las prácticas de distribución de tu Campaña.
- …
Además, si eres un miembro del EEE, debes reconocer y aceptar por escrito que tenemos tu autorización previa para responder, a nuestra discreción, a cualquier solicitud de acceso por parte de un interesado a los datos que recibamos de tus contactos conforme a las leyes de privacidad de datos de la UE o, alternativamente, podemos enviarte dichos contactos para que puedas responder a la solicitud en consecuencia.
Ahora que hemos establecido que Mailchimp te exige respetar todas las leyes aplicables, vamos a echarle un vistazo a los requisitos legales.
Según las leyes de la mayoría de los países, tienes que tener una política de privacidad válida activa. La política de privacidad debería incluir información clara y precisa sobre quién está llevando a cabo el tratamiento de los datos y con qué propósito. No hacerlo puede acarrear, a menudo, importantes multas y sanciones.
Si entras dentro del ámbito de aplicación de leyes como el RGPD o la PIPA de Canadá, para que el consentimiento que recopiles se considere válido, tiene que cumplir una serie de requisitos específicos, incluyendo informar de forma correcta y completa a tus usuarios acerca de los fines, métodos y partes participantes en el tratamiento de sus datos.
Según leyes como el RGPD, si no tienes un registro válido de los consentimientos recopilados, dichos consentimientos pueden considerarse inválidos (en algunos casos, esto te obligará a volver a obtener el consentimiento). Tu registro de consentimientos debe contener información relevante sobre el consentimiento individual, incluyendo el método de consentimiento y pruebas relacionadas con el formulario y política de privacidad activas en el momento de obtención del mismo. Puedes encontrar más información sobre el registro de consentimientos aquí.
*Todas nuestras políticas son creadas y supervisadas por nuestros abogados, y se alojan en nuestros servidores para garantizar que estén siempre actualizadas con los últimos requisitos legales y de terceros.
Desde hace un tiempo, Mailchimp ha puesto a disposición de sus usuarios una opción llamada campos RGPD: formularios conformes al RGPD que incluyen casillas de verificación para el consentimiento de suscripción y secciones editables que explican cómo y porqué utilizas datos personales. Ten en cuenta que simplemente habilitando los campos RGPD en tus formularios de suscripción no hace que cumplas con todos los requisitos legales.
Esto es lo que tienes que hacer:
Visita mailchimp.com/help para obtener más información sobre cómo usar estas funciones.
El simple hecho de haber habilitado estas funciones no garantiza que cumplas con todos los requisitos legales de forma automática. Recuerda: el consentimiento debe recopilarse de acuerdo con las leyes del país que se te apliquen y las listas de correo deben gestionarse conforme a la normativa aplicable. Algunos de estos requisitos dependen en gran medida de cómo diseñes tus formularios y tu newsletter. Para consultar un resumen completo de los requisitos, así como para ver ejemplos de cómo puedes implementarlos, échale un vistazo a nuestra Guía de conformidad legal para correos electrónicos y newsletters.
Mailchimp ofrece dos ajustes de suscripción para tus listas: suscripción única y suscripción doble. Mientras que la suscripción única solo requiere que los usuarios introduzcan su información para ser agregados a tu lista de correo, la suscripción doble requiere que los usuarios validen primero su dirección de correo electrónico antes de ser agregados. La validación tiene lugar cuando el usuario hace clic en un enlace específico contenido en un mensaje de “confirmación” enviado a su dirección de correo electrónico.
Dependiendo de las necesidades de tu organización, puede que quieras probar el proceso de suscripción doble, que incluye un paso de confirmación adicional para verificar cada dirección de correo electrónico. Este método de registro se considera la mejor práctica en muchos países y puede ser un requisito obligatorio en algunos (por ejemplo, en Alemania).
Puedes consultar la guía de Mailchimp sobre cómo habilitar la suscripción doble para tus listas aquí.
Tal y como se establece en sus condiciones de uso (sección 20.5), si estás ubicado en el EEE (incluyendo Reino Unido y Suiza) o si puede que tengas a alguien ubicado en estas regiones en tu lista de correo, estás obligado a firmar un DPA (Data Processing Addendum) con Mailchimp.
Tendrás que firmar y devolver el Data Processing Addendum de Mailchimp, que establece tanto tus obligaciones como las de Mailchimp en lo que respecta a la protección y seguridad de los datos personales cuando lleves a cabo actividades de tratamiento de los mismos. Una vez firmado, el Data Processing Addendum formará parte del contrato y se incorporará al mismo. Puedes acceder a nuestro acuerdo del tratamiento de datos aquí, donde se te pedirá entrar en tu cuenta para firmar el contrato online.
Condiciones de Uso de Mailchimp
Si entras dentro del ámbito de aplicación del RGPD (y es probable que esto sea así), es obligatorio que mantengas un registro válido de consentimientos. Este registro debería incluir:
Esto es, por supuesto, todo un desafío técnico.
Nuestra Consent Database simplifica este proceso ayudándote a almacenar fácilmente la prueba del consentimiento y a gestionar las preferencias de consentimiento y privacidad para los consentimientos individuales (lo que te permite rastrear todos los aspectos del consentimiento que hayas recopilado).
Simplemente, activa la Consent Database, obtén la clave API e instala nuestra Consent Database a través de la HTTP API o del widget JS, ¡y listo! Ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.
Para obtener más información sobre la Consent Database, consulta la guía de introducción a la Consent Database o, para obtener una visión práctica de cómo se puede usar la solución en un sitio web de WordPress, consulta nuestra guía sobre Cómo usar la Consent Database con Contact Form 7.
Para empezar, simplemente:
